Vulnérabilité CVE-2024-1086 : Flaw critique d’escalade de privilèges dans le noyau Linux exploité dans les attaques par ransomware
Immédiatement après les rapports sur le CVE-2025-59287, une faille critique RCE dans les systèmes WSUS, exploitée à l’état sauvage, une autre faille du noyau Linux de haute sévérité a été observée être activement utilisée comme arme dans des attaques par ransomware. La CISA a confirmé son exploitation et a averti que l’exploitation de CVE-2024-1086 dans des campagnes offensives permet aux attaquants ayant un accès local de gagner des privilèges root sur les systèmes affectés.
Pour la troisième année consécutive, les vulnérabilités exploitées restent la cause technique la plus commune des attaques par ransomware, impliquées dans 32% des incidents, selon le rapport L’État du Ransomware 2025 par Sophos. Les groupes de ransomware exploitent de plus en plus les failles logicielles comme principal point d’entrée dans les systèmes d’entreprise, tandis que l’ingénierie sociale et les identifiants volés continuent de jouer un rôle majeur dans les attaques. Avec plus de 40 000 nouvelles vulnérabilités enregistrées par le NIST cette année, les organisations font face à un défi croissant, car identifier et réparer ces failles de manière proactive est essentiel pour réduire la surface d’attaque et se défendre contre des menaces par ransomware de plus en plus sophistiquées.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial des menaces actives, qui offre une intelligence sur les cybermenaces en temps réel et des algorithmes de détection sélectionnés pour traiter les menaces émergentes. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et mappées sur le cadre MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et de plus de contexte pertinent. Appuyez sur Explorer les Détections pour voir l’ensemble complet des détections pour une défense proactive contre les vulnérabilités critiques filtrées par le tag “CVE”.
De plus, les défenseurs cybersécurité peuvent consolider leurs défenses avec une pile de détection sélectionnée traitant des attaques par ransomware. Il suffit de rechercher un contenu de détection pertinent dans le Threat Detection Marketplace en utilisant le tag “Ransomware”.
Les ingénieurs en sécurité peuvent également utiliser Uncoder AI, un IDE et co-pilote pour l’ingénierie de détection. Avec Uncoder, les défenseurs peuvent instantanément convertir des IOC en requêtes de chasse personnalisées, créer du code de détection à partir de rapports de menaces brutes, générer des diagrammes de flux d’attaque, activer la prédiction des tags ATT&CK, optimiser les requêtes grâce à l’IA, et traduire le contenu de détection sur plusieurs plateformes.
Analyse de CVE-2024-1086
La CISA a récemment publié un avertissement urgent concernant une faille critique du noyau Linux, identifiée comme CVE-2024-1086. Ce bug critique de type use-after-free (avec un score CVSS de 7,8), caché dans le composant netfilter: nf_tables , permet aux adversaires ayant un accès local de gagner des privilèges root sur les systèmes affectés et potentiellement déployer des ransomwares, ce qui pourrait gravement perturber les systèmes d’entreprise dans le monde entier ou éventuellement provoquer une exécution de code arbitraire.
La faille a été divulguée et corrigée en janvier 2024, bien qu’elle ait pris son origine dans un code introduit en 2014. Elle a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA le 30 mai 2024, et fin octobre 2025, la CISA a émis une notification confirmant que la vulnérabilité est connue pour être activement utilisée dans des campagnes de ransomware. Notamment, le proof-of-concept (PoC) exploité pour la faille est disponible depuis mars 2024, lorsque un chercheur utilisant le pseudo “Notselwyn” a publié un CVE-2024-1086 PoC sur GitHub, démontrant une élévation de privilèges locaux sur les noyaux Linux de 5.14 à 6.6.
En exploitant cette vulnérabilité, les attaquants peuvent contourner les contrôles de sécurité, obtenir un accès administratif et se déplacer latéralement à travers les réseaux. Une fois les privilèges root obtenus, les opérateurs de ransomware peuvent désactiver les protections des endpoints, chiffrer des fichiers critiques, exfiltrer des données sensibles et établir un accès persistant.
Le sous-système netfilter, responsable du filtrage de paquets et de la traduction d’adresses réseau, rend cette vulnérabilité particulièrement précieuse pour les attaquants cherchant à manipuler le trafic réseau ou affaiblir les mécanismes de sécurité. Typiquement, CVE-2024-1086 est exploitée après que les adversaires aient acquis une position initiale par hameçonnage, identifiants volés ou vulnérabilités exposées sur Internet, transformant un accès utilisateur limité en un contrôle administratif complet.
La classification par la CISA de CVE-2024-1086 comme une vulnérabilité “connue pour être utilisée dans des campagnes de ransomware” souligne sa gravité et le besoin urgent pour les organisations de vérifier le déploiement des correctifs et de mettre en œuvre des contrôles de mitigation à travers les environnements Linux.
Comme mesure potentielle de mitigation CVE-2024-1086, le fournisseur conseille de désactiver la création d’espaces de noms pour les utilisateurs non privilégiés. Pour le désactiver temporairement, exécutez sudo sysctl -w kernel.unprivileged_userns_clone=0 , tandis que l’exécution de echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf sert de changement persistant après redémarrage.
Renforcer les stratégies de défense cyber proactive est crucial pour les organisations afin de réduire efficacement et rapidement les risques d’exploitation des vulnérabilités. En tirant parti de l’ensemble de la suite de produits SOC Prime pour une protection de sécurité prête pour l’entreprise soutenue par une expertise en cybersécurité de pointe et l’IA, les organisations mondiales peuvent pérenniser la défense cyber et renforcer leur posture de cybersécurité.
